计算机安全技术【笔记】

最新推荐文章于 2024-07-10 16:52:13 发布

HT丶请叫我滚去学习

最新推荐文章于 2024-07-10 16:52:13 发布

阅读量988

点赞数 29

分类专栏：计算机基础文章标签：安全笔记网络

本文链接：https://blog.csdn.net/weixin_42688819/article/details/137184332

版权

计算机基础专栏收录该内容

2 篇文章 0 订阅

订阅专栏

计算机网络安全技术

计算机网络安全概述

网络安全的概念

网络安全是什么？

网络安全是指网络系统的硬件、软件和系统中的数据受到保护，不因偶然的或者恶意的攻击而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断

网络安全基本要素

保密性

信息不能非授权访问
完整性

不能非法修改，修改必有记录
可用性

不中断服务
可控性

访问操作都被监视审计
不可否认性

证据确凿，无可抵赖

保密性与完整性和可用性并称为信息安全的CIA三要互

网络安全技术的发展历程

信息安全的发展的4个阶段

通信保密阶段
- 时间：19世纪40年代-70年代
- 特点：通过密码技术解决通信保密问题，保证数据的保密性与完整性
- 标志：1949年《保密通信的信息理论》使密码学成为一门科学；1976年美国斯坦福大学的迪菲和赫尔曼首次提出公钥密码体制；美国国家标准协会在1977年公布了《国家数据加密标准》
计算机安全阶段
- 时间：19世纪80年代-90年代
- 特点：确保计算机系统中的软、硬件及信息在处理、存储、传输中的保密性、完整性和可用性
- 标志：美国国防部在1983年出版的《可信计算机系统评价准则》。
信息技术安全阶段
- 时间：19世纪90年代
- 特点：强调信息的保密性、完整性、可控性、可用性的信息安全阶段，即ITSEC(Information Technology Security)。
- 标志：1993年至1996年美国国防部在TCSEC的基础上提出了新的安全评估准则《信息技术安全通用评估准则》，简称CC标准
信息保障阶段
- 时间：19世纪90年代后期至今
- 特点：信息安全转化为从整体角度考虑其体系建设的信息保障（Information Assurance）阶段，也称为网络信息系统安全阶段。
- 标志：各个国家分别提出自己的信息安全保障体系

网络安全包含的内容

物理安全

网络安全的前提，指保护计算机网络设备、设施和其他媒体的物理安全，免遭地震、水灾、火灾等环境事故以及人为操作失误、错误或者各种计算机犯罪行为导致的破坏。包括：

环境安全——区域保护和灾难保护
设备安全——防盗、防毁、防磁、防截获、防辐射、电源保护等
媒体安全——保护媒体数据和媒体本身

网络安全——网络运行及网络访问控制的安全

局域网、子网安全
- 访问控制（防火墙）
- 网络安全检测（网络入侵检测系统）
网络中数据传输安全
- 数据加密（VPN等）
网络运行安全
- 备份与恢复
- 应急处理
网络协议安全
- TCP/IP
- 其他协议

网络安全——操作系统和数据库系统的安全

操作系统安全
- 反病毒
- 系统安全检测
- 入侵检测（监控）
- 审计分析
数据库系统安全
- 数据库安全
- 数据库管理系统安全

应用安全——开发平台和应用系统的安全

应用软件开发平台安全
- 各种编程语言平台安全
- 程序本身安全
应用系统安全
- 应用软件系统安全

管理安全——网络安全

安全是一个整体，完整的安全解决方案不仅包括物理安全、网络安全、系统安全和应用安全等技术手段，还需要以人为核心的策略和管理支持

网络安全至关重要的往往不是技术手段，而是对人的管理30%的技术，70%的管理

网络攻击及防范

黑客及网络攻击

黑客入侵攻击的一般过程

请添加图片描述

网络信息收集技术

TCP数据报控制位含义

URG

紧急位，为1时，首部中的紧急指针有效
ACK

确认位，为1时，首部中的确认号有效
PSH

推位，为1时，要求把数据尽快交给应用程序
RST

复位标志，为1时，复位连接，一般在出错或关闭连接时使用
SYN

同步位，在建立连接时使用，当SYN=1而ACK=0时，表明这是一个连接请求报文段。对方若同意建立连接，在发回的报文段中使SYN=1和ACK=1
FIN

结束位，为1时，表示发送方完成了数据发送

一个SYN请求到达关闭端口时，端口回应RST
一个SYN请求到达监听端口时回应SYN+ACK
一个FIN数据到达监听端口时，端口无回应
一个FIN数据到达关闭端口时，端口回应RST

端口——分配给不同程序识别身份的一个数字编号

知名端口（0-1023）

这些编号由IANA分配管理，用于Internet公共服务和应用程序。HTTP 80（Web 服务器）、FTP 20/21（文件传输） POP3/SMTP 110/25（电子邮件服务器）常用应用程序使用这些端口号。
登记端口（端口1024-49151）这些端口号分配给用户进程或应用程序，如SQL Server 使用1433，腾讯QQ使用4000。
临时端口（端口49152–65535）这些端口往往在开始连接时被动态分配给客户端应用程序。

信息收集层次

外围信息收集（网络踩点）

收集IP地址范围、域名信息、系统信息等。
关键信息收集（网络扫描）

探测系统开放端口、操作系统类型、网络服务，以及是否存在可利用的安全漏洞等。
- 信息收集利器，黑客攻击工具；网管管理帮手。
- 目标：探测目标网络结构，获取目标系统的开放端口、操作系统类型、运行的网络服务、存在的安全弱点等信息。
深度信息收集（网络查点）：获得用户账号、网络服务类型和版本号等更细致的信息。

外围信息收集

工具：whois

关键信息收集

网络扫描器

功能：

检测主机是否在线
系统开放的服务（端口扫描）
破解系统口令，各种口令漏洞、后门
扫描应用服务漏洞
获取操作系统敏感信息
拒绝服务漏洞等

原理：

网络数据在传输过程中，需要进行不同格式的封装。
利用数据封装信息，可以深度探测目标网络信息：例如网络结构、开放端口、操作系统类型、运行的网络服务、存在的安全弱点等信息。

工作原理：

当向主机某个端口发送建立连接请求时，如果该主机有此项服务则应答；如果主机未安装此项服务，则无应答
利用该原理，如果对某个主机所有熟知端口或自己选定范围内的端口分别请求建立连接，根据主机的回应，就可以知道目标主机安装了哪些服务，开放了哪些端口

常用的扫描软件：

X-scan（综合扫描器）多线程方式扫描指定IP段全面漏洞，系统服务
Nmap（端口扫描器）操作系统及端口扫描
Nessus（综合扫描器）扫描任意端口、任意服务。（脆弱点、漏洞、危险级别、补救措施等）可作安全评估工具
Ipscan（ip端口扫描器，扫描开放端口），查找局域网中已用和未运用的IP地址，扫描指定IP地址开放的端口等。

Nmap详解：

Nmap是一个网络探测和安全扫描程序，可以扫描大型网络，探测正在运行的主机及其提供的服务，支持多种扫描技术，甚至可以探测关闭的主机，诱饵扫描，避开端口过滤检测等。

Nmap扫描器扫描方式

ping扫描（-sP参数）探测运行主机
TCP connect()（-sT参数）扫描开放端口
TCP SYN 扫描（-sS参数）半步扫描
UDP扫描（-sU参数）扫描UDP端口

其他扫描方式：

FIN扫描（-sF）通过FIN数据包探测
圣诞树扫描（-sX）查FIN，URG，PUSH
空扫描（-sN）使用无标记的数据包

网络扫描的防范——防火墙

设定对端口的访问

深度信息收集

深度信息收集——口令破解

口令是用户最重要的防护措施，访问控制最常用的方法就是口令保护（密码保护），口令破解也是黑客入侵常用方法。
口令破解常用方法有：暴力破解，Sniffer密码嗅探、木马，记录键盘，欺诈等手段。
暴力破解是基于密码匹配的破解方法，有穷举法和字典法，目前，字典法应用普遍。
暴力破解工具有SMBCrack、SAMlnside、LOphtCrack等

口令破解——SMBCrack工具

SMBCrack是基于Windows操作系统的口令破解工具，使用了SMB协议
SMB协议使用端口139、445实现文件，打印机、串口等共享。
Windows可以在一个会话内进行多次密码试探，所以用暴力破解工具SMBCrack可以破解操作系统口令。

口令破解的防范

关闭139端口
设置账户锁定策略
强壮的密码
administrator账户重命名

网络监听技术及防范

网络监听指在通信中监听他人的数据包，分析数据包，获取敏感信息技术
黑客通过网络监听盗取账号和密码等
网管利用网络监听监视网络的状态，数据流动情况以及传输的信息等。
网络监听工具称为Sniffer，有硬件和软件两种，硬件Sniffer也称为网络分析仪。

什么是Sniffer?

Sniffer，中文可以翻译为嗅探器，也就是我们所说的数据包捕获器。
网络通信监视软件
网络故障诊断分析工具
网络性能优化、管理系统

Sniffer原理

Sniffer工作原理就是更改网卡工作模式，利用网卡混杂模式接收一切所能接受的数据，从而捕获数据包，分析数据包，达到网络监听目的。

Sniffer作用

它帮助你迅速隔离和解决网络通讯问题，分析和优化网络性能和规划网络的发展

网卡工作原理

网卡先接收数据包头部的目的MAC地址，根据网卡设置的接收模式判断该不该接收（正常情况下接收自己的），如需接收就在接收后通知CPU；如不接收就直接丢弃。CPU得到接收信息，调用驱动程序接收数据，并放入内存供操作系统进一步处理。

网卡的工作模式

广播方式

能够接收网络中的广播信息。
组播方式

能够接收组播数据，无论是否组内成员。
直接方式

只接收目的地址是自己MAC的数据。
混杂模式

能够接收到一切通过它的数据。

Sniffer实现监听

把网卡置于混杂模式
捕获数据包
分析数据包

网络监听的检测和防范

划分VLAN进行合理的网络分段
避免明文传输口令，用SSH/SSl建立加密连接，保证数据传输安全。
Sniffer通常被用来入侵系统后收集信息，因此防止系统被突破可以避免网络监听。
将共享式网络升级为交换式网络。
AntiSniff工具用于检测局域网中是否有机器网卡处有混杂模式（不是免费的）。

网络监听之ARP欺骗技术

ARP是地址解析协议，将网络层IP地址转换为以太网使用的MAC地址。ARP欺骗就是使用伪造的假MAC地址欺骗网络中某台主机，使其数据包发生错误的转发，从而达到监听目的。

ARP欺骗是黑客常用的攻击手段之一，黑客通常用自己主机的MAC地址假冒网络网关地址，这样内网发往外网的数据包就经由假的网关转发到了黑客主机，黑客从中获取需要信息。

ARP欺骗攻击

IP为10.3.40.59的黑客主机对IP为10.3.40.5的主机进行ARP欺骗，被欺骗的主机上网时，本该直接发往网关10.3.40.254的数据包发给了黑客主机10.3.40.59，经由黑客主机再发给网关，网关发给主机20.3.40.5的数据包也同样经由黑客主机中转，黑客主机完全监听了主机10.3.40.5的网络通信
欺骗工具SwitchSniffer可实施ARP欺骗

ARP欺骗的检测和防范

网络存在大量ARP响应包
ARP命令静态绑定网关
ARP防火墙
加密传输数据，使用VLAN技术细分网络拓扑，可以降低ARP欺骗攻击的危害后果

木马攻击技术

木马

木马是一种基于远程控制的黑客工具
隐蔽性
潜伏性
危害性
非授权性

木马的工作原理——木质上是一个C/S模式的程序

被植入木马的PC(server程序)<–>操作系统<–>TCP/IP协议<–>端口（端口处于监听状态）<----------->端口（控制端）<----->TCP/IP协议<---->操作系统<----->控制木马的PC(client程序)

木马的分类

破坏型
代理型
FTP型
下载型木马
远程访问型
键盘记录型
密码发送型

木马实施攻击的步骤

配置木马

木马伪装

信息反馈
传播木马

软件下载，邮件附件，淫秽图片，通信软件
启动木马

自动启动，潜伏待命
建立连接

主动连接

被动连接
远程控制

木马检测与清除

木马的隐藏和伪装

文件的位置

C:\WINNT; C:\WINNT\system32
文件的属性

设置为隐藏
文件的捆绑

与系统执行文件捆绑在一起
文件的名字

Kernl32.exe
文件扩展名

.jpg.exe冒充图片文件
文件的图标

改成HTML、JPG图标

木马运行时伪装方法

在任务栏里隐藏

窗体Visible设为false
在任务管理器里隐藏

设为系统服务

设为.dll文件

设为.cpl文件
隐藏端口

端口反弹木马

木马启动方式

win.ini利用load= run=
system.ini 利用shell=file.exe
启动组
注册表
捆绑方式启动
与普通文件关联
设置在超级链接中

木马的检测

查看端口
检查注册表
检查DLL木马
检查配置文件

木马的防御

发现木马，检查系统文件、注册表，端口
正规网站下载软件，不在线安装
不熟悉的E-MAIL不打开，尤其附件
安装杀毒软件并及时升级
合理使用防火墙

拒绝服务攻击(Dos攻击)

指任何导致服务器不能正常提供服务的攻击（广义包括网络设备服务器、路由器、交换机、防火墙等）

攻击目的

使服务器崩溃无法访问
瘫痪服务器自己冒充之
强制服务器启动以启动木马

攻击对象

终端设备、节点设备、线路介质
服务器、PC、Pad、手机、智能电视、路由器、交换机、打印机、摄像头等
终端设备攻击系统；节点设备攻击协议；线路介质蠕虫病毒攻击

DoS攻击原理——设法让目标机器停止提供服务或资源访问

消耗目标主机的可用资源（存储、内存、进程等）如：死亡之ping、SYN攻击、Land攻击、泪珠攻击等。
用海量数据包消耗服务器链路有效带宽（例如：蠕虫）

死亡之ping——最简单的基于IP的Dos攻击

操作系统提供了ping网络工具，利用ping -l 65500 目标ip -t（65500表示包长度，-t表示不停地ping目标地址）可形成死亡之ping攻击
向目标主机长时间、连续、大量发送畸形、超长的ICMP数据包，能导致主机内存错误，主机甚至死机。
正确配置操作系统及防火墙，阻断ICMP可防范此类攻击

Land攻击

利用特别生成的SYN请求包（源地址和目标地址都被设置成目标服务器地址）建立连接，这将导致服务器向自己发送SYN/ACK报文，结果这个地址又发回ACK消息并创建一个空连接，就这样不断训话。
对Land攻击，许多UNIX系统将崩溃，而Windows NT会奕的极其缓慢（大约持续五分钟），路由器无法连通，只能硬重启

DDoS：Distributed Denial of Service 分布式拒绝服务攻击

分布式拒绝服务攻击指借助于客户/服务器技术，将多个计算机联合起来作为攻击平台，对一个或多个目标发动DDoS攻击，从而成倍地提高拒绝服务攻击的为例。这是一种分布、协作的大规模攻击方式。

DDos(分布式拒绝服务器)攻击

攻击准备
1. 攻击者攻击诸客户主机以分析其安全水平和脆弱性、网络状态好、性能好、安全性差的主机
2. 攻击者进入其发现的理想的客户主机（“肉鸡”，“僵尸 ”），秘密地安置一个其可远程控制的代理程序（端口监督程序demon）
发起攻击
1. 攻击者使全部代理程序同时发送由残缺连接请求送至目标系统
2. 大量虚假的、残缺的连接请求包攻击目标系统，最终导致它因通信淤塞而崩溃…

SQL注入攻击与防范

SQL注入攻击概念

SQL注入攻击是指应用程序在向数据库传递SQL查询时，没有对输入值进行合法性、安全性审核，使应用程序存在安全隐患。攻击者可以通过提交一段恶意指令或查询代码来构造动态的SQl语句，执行查询语句后，可以获得某些敏感信息或攻击者想得知的数据。

SQL注入攻击特点

危害性大

银行、证券、电信、移动、政府、电商都存储大量用户信息，个人信息泄露已成为全球最严重的问题之一
隐蔽性强

防火墙对HTTP/HTTPS基本完全开放；web应用攻击变化多，基于特征检测的IDS对注入攻击几乎无法检测
攻击时间短

可在几秒到几分钟内完成数据窃取、或完成对整个数据库的控制，很难及时做出攻击判断。

SQL注入攻击原理

利用用户输入的值拼接SQL语句，拼接语句改变了原语句的结构和逻辑，造成注入攻击

如：常见的登录验证，通常SQL语句为：str= “select * from users where (name = '”+userName+“')” and (pw = ‘“+passWord+”’);

攻击者在输入用户名，密码时，恶意填写成：1’ OR ‘1’='1这样，原语句变为

str = “select * from users where (name = ‘1’ or ‘1’=‘1’)” and (pw = ‘1’ or ‘1’=‘1’);

实现了无账号密码登录网站

SQL注入攻击防范措施

在设计程序时，使用参数化查询来设计数据访问功能，使用参数而不是将用户输入嵌入
使用安全方式连接SQL数据库，如ASP.NET的SqlDataSource对象过滤了注入攻击
输入验证，检查用户输入的合法性，确信输入的内容只包含合法的数据
使用SQL防注入系统

社会工程学攻击及防范

社会工程学攻击概念

社会工程学攻击是一种通过对被攻击者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱所采取的诸如欺骗、伤害等危害手段，获取自身利益的手法。攻击者利用社会工程学手段将入侵攻击行为最大化，不仅能够利用系统的弱点进行入侵，还能通过人性的弱点进行入侵。

社会工程学，准确来说，不是一门科学，而是一门艺术和窍门的方术，不属于传统的信息安全技术
凯文·米特尼克被称为社会工程学的创始人，其出版的《欺骗的艺术》堪称社会工程学的经典，书中详细描述了社会工程学入侵网络的方法，这些方法不需要太多的技术，而是利用人轻信、贪便宜等弱点潜入防护严密的网络系统，他曾经在很小的时候就以此侵入了美国国防部、CIA、IBM等网络，并获取了管理员特权，还出版了《反欺骗的艺术》
近年来，社会工程学攻击呈现出上升甚至泛滥的趋势，攻击手段也日趋成熟，技术含量也越来越高。

社会工程学攻击常见方式

结合实际环境渗透
引诱被攻击者——中奖，赠送，投票等
伪装欺骗被攻击者——贺卡，钓鱼网站
说服被攻击者
恐吓被攻击者
恭维被攻击者
反向社会工程学攻击

社会工程学攻击——网络钓鱼

大多数的钓鱼攻击都是伪装成银行、学校、软件公司或政府安全机构等可信服务提供者的网站，例如FBI。
钓鱼攻击或冒充你所信任的服务商发送邮件，要求你通过给定的连接完成账户资料更新或者升级软件，点击邮件中嵌入的链接把你带去一个专门窃取你的登录凭证而设计的冒牌网站。
钓鱼攻击或给你发邮件声称你中了彩票或促销商品，要求你提供银行信息以便接收彩金，或冒充警员表示找回你“被盗的钱”，需要你提供银行信息拿回这些钱。

计算机病毒及防治技术

计算机病毒概述

计算机病毒

计算机病毒，指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

计算机病毒的特点

传染性
破坏性
潜伏性和可触发性
非授权性
隐蔽性
不可预见性

病毒的产生原因

出于一种炫耀和显示自己的能力的目的
某些软件作者出于版权保护的目的
出于某种报复目的或经济利益而编写病毒
出于政治、战争的需要

网络化病毒的特点

网络化：传播速度快、爆发速度快、面广
隐蔽化：具有欺骗性（加密）
多平台、多种语言
新方式：与黑客、特洛伊木马相结合
多途径
攻击反病毒软件
变化快（变种）
清除难度大
破坏性强

计算机病毒发展历程

计算机病毒的产生

四个阶段

计算机病毒产生的理论基础（1949）

冯·诺依曼《复杂自动装置的理论及组织的行为》
实验室中产生——病毒的雏形（磁芯大战）

1959年美国电话电报公司贝尔实验室
计算机病毒的出现（1983）

1983图灵奖得主科恩·汤普逊（C发明者）证实
我国计算机病毒的出现（1986）

小球病毒，又叫乒乓病毒

计算机病毒的发展历程

DOS引导阶段（1987）
DOS可执行阶段（1989）
伴随阶段（1992）
多形阶段（1994）
生成器、变体机阶段（1995）
网络、蠕虫阶段（1995）
视窗阶段（1996）
宏病毒阶段（1998）
邮件病毒阶段（1999）
手持移动设备病毒阶段（2000）

计算机病毒的分类

计算机病毒分类依据

根据病毒依附的操作系统
根据病毒的传播没接
根据病毒的宿主

按病毒依附的操作系统分类

基于DOS系统病毒

如：小球病毒、黑色星期五、米开朗基罗
基于Windows系统病毒

目前主流，如威金病毒
基于Unix/Liunx系统

如：Turkey蠕虫
基于嵌入式系统

如：手机病毒

按病毒的传播媒介分类

存储介质

软盘、优盘、光盘、移动硬盘
网络
1. 浏览器网页
2. 网络下载
3. 通信软件
4. 邮件
5. 局域网

按病毒的宿主分类

引导型病毒

引导扇区是系统启动或引导指令保存的位置，病毒感染藏于引导区，先于操作系统启动
文件型病毒

以可指定文件为宿主，藏于EXE、com、BAT文件中
- 前依附病毒
- 后依附病毒
- 覆盖型病毒
- 伴随型病毒
宏病毒

以Microsoft office 文件“宏”为宿主，藏匿于文档或模板宏中，一旦打开这样的模板或文档，其中的宏就会被执行，宏病毒就会被激活，并通过DOC文档或DOT模板进行自我复制和传播

蠕虫病毒

通过网络复制和传播的恶性病毒。具有传播性、隐蔽性、破坏性等病毒的一些共性
不需要宿主程序，仅存在于内存或网络流中
通过网络连接传播自身或自身的某些部分到目标主机
和黑客技术相结合，可对网络造成拒绝服务攻击

蠕虫病毒与传统病毒的区别

	传统病毒	蠕虫病毒
存在形式	寄存文件	独立存在
传染机制	宿主文件运行	主动攻击
传染目标	文件	网络

蠕虫病毒的危害

传染方式多
传播速度快
清除难度大
破坏性强
一种是针对企业的局域网，主要通过系统漏洞，另外一种是针对个人用户的，主要通过电子邮件，恶意网页形式迅速传播的蠕虫病毒。

病毒防治技术

人工检测
- 新病毒出现快，变种多
- 病毒库来不及更新
- 根据计算机系统出现的异常情况进行检测
自动检测
- 由成熟的杀毒软件自动完成

人工检测通常由计算机异常情况来判断

运行速度缓慢，CPU使用率高
存在可疑进程
频繁产生错误，引发蓝屏
浏览器篡改，关闭等异常
文件图标改变；破坏
系统频繁重启
内存及磁盘空间迅速减少

计算机自动检测病毒方法

特征代码法
校验和法
行为检测法
虚拟机技术

特征代码法

采集已知病毒样本，总结出足以代表该病毒的特征代码。
将特征代码保存进病毒库。
打开被检测文件，检查文件中是否含有病毒数据库库中的病毒特征代码（唯一性）
- 文件特征代码
- 内存特征代码

优点：

检测准确快速，可识别病毒的名称、误报警率低。

依据检测结果，可做杀毒处理。
缺点：

速度慢，效率低

不能对付隐蔽性病毒

不能检查未知病毒

校验和法

将正常文件的内容，计算其校验和，将该校验和写入文件中或写入别的文件中保存。针对多态病毒
优点：

方法简单，能发现已知和未知病毒
缺点：

不能识别病毒类型和名称

效率低，误报率高

不能对付隐蔽性病毒

行为监测法

利用病毒的特有行为和特性来监测病毒的方法。
行为特征如下:
- 占有内存特殊位置
- 对COM、EXE文件做写入动作
- 病毒程序与宿主程序的切换
特点：

可发现未知病毒，可相当准确地预报未知的多数病毒

可能误报警、不能识别病毒名称、实现时有一定难度

虚拟机技术

为了检测多态性病毒，可应用虚拟机技术。它是一种软件分析器，用软件方法来模拟和分析病毒程序的运行。从而病毒的执行过程，总结其特征。
虚拟机技术一般结合特征代码法和行为检测法一起使用。
沙盘（沙盒）-Sandboxie

防病毒软件

杀毒软件采取特征码、启发式、主动防御等多种技术检测清除病毒

选择防毒软件的标准

“高侦测率”是基本条件
“尽量小影响”是基本要求
“容易管理”是基本要求
未知病毒“隔离政策”是关键

病毒处理功能特色指标（高侦测率）

未知病毒检测能力、未知病毒清除能力
压缩文件查毒、压缩文件清毒
打包文件查毒、打包文件清毒
内存查毒、内存清毒、运行文件清毒

病毒综合防治方案

病毒的综合预防措施

安装防病毒软件
从外面获取数据先检查
定期升级防病毒软件
建立系统恢复盘
不随便打开不明来源的邮件附件
定期备份文件
尽量减少其他人使用你的机
及时打系统补丁
综合各种防病毒技术

数据加密技术

数据加密技术概述

数据加密是一门历史悠久的技术，它是信息进行重新编码，从而达到隐藏信息真实内容的一种技术。目前大量信息通过网络传输，数据加密技术是保证网络信息安全的重要手段。

数据加密技术的发展

4000年前，人类开始使用密码技术，最早的密码技术源于隐写术（藏头诗，明矾隐写术等）
我国宋代曾公亮《武经总要字验》，最早的密码本。
公元前一世纪，古罗马皇帝使用有序的单表代替密码。
1844年，摩尔斯发明了电报，也称摩尔斯电码。
二十世纪初，产生了机械式和电动式密码机，出现了商业密码机公司和市场。
二十世纪60年代后，电子密码机得到较快的发展和广泛的应用。

现代密码学

现代密码学是专门研究编制密码（加密技术）和破译密码（解密技术）的技术科学

加密：将信息进行一组可逆的数学变换过程
解密：去除密文伪装，恢复明文的变换过程

术语：

明文：P，加密前原始信息
密文：C，经过加密的信息
加密函数：E，加密算法
解密函数：D，解密算法
秘钥：k，用于加解密的信息

密码学的三个阶段

1949年之前，古典密码学阶段
1949-1975年，现代密码学
1976年以后，公钥密码学

古典密码学（~1949年）

密码学还不是科学，而是艺术
出现一些密码算法和加密设备
密码算法的基本手段出现，保密针对的是字符
简单的密码分析手段出现
主要特点：数据的安全基于算法的保密

现代密码学（1949~1975）

密码学成为科学
计算机使得基于复杂计算的密码成为可能
相关技术的发展
- 1949年Shannon的“The Communication Theory of Secret Systems”《保密系统的信息理论》
- 1967年David Kahn的《The Codebreakers》《破译者》
- 1971~73年IBM 沃森实验室发表了几篇后来成为DES标准的技术报告
主要特点：数据的安全基于密钥而不是算法的保密

公钥密码学（1976年~）

现代密码学的新方向
相关技术的发展
- 1976年：Diffie &Hellman 提出了公开密钥密码学的概念。并发表论文“New Directions in Cryptography”《密码学的新方向》
- 1977年Rivest,Shamir & Adleman提出了RSA公钥算法
- 90年代逐步出现椭圆曲线等其他公钥算法
主要特点：公钥密码使得发送端和接收端无密钥传输的保密通信成为可能

密码学解决的问题

对称加密

信息的保密性
单向散列算法

信息的完整性
数字签名

信息的源发鉴别
数字签名+时间戳

信息的不可抵赖性

古典密码学

古典密码学主要采用对明文字符进行替换和换位两种技术实现，算法简单，保密性取决于算法保密性

替换密码技术

替换密码：明文中每一个字符被替换成密文中的另外一个字符。
典型的代替密码：简单代替密码、多名码代替密码、多字母代替密码、多表代替密码换位密码

换位密码技术

换位密码：通过改变明文字母的排列次序来达到加密的目的（列换位）

对称加密技术

对称加密算法

对称加密算法指加密和解密使用相同密钥的加密算法，又叫传统密码算法
对称加密算法的安全性完全依赖密钥的安全性
两类对称加密算法：
- 序列加密算法：每次运算一次或一个字节
- 分组加密算法：每次加密一组位，一般64

对称加密的优缺点

优点：

算法简单高效、密钥简短，破解困难
缺点：

密钥的管理

密钥的传递

对称加密算法之——高级加密标准DES算法

20世纪70年代初，商用密码学的研究处于初始阶段，没有统一标准。
1972年，美国国家标准局(NBS)拟定了一个旨在保护计算机和通信数据的计划，要开发一个标准密码算法。
1973年，NBS公开征集标准密码算法
1976年11月，DES被美国政府采纳作为联邦标准，并授权在非密级的政府通信中使用
1981年，美国国家标准研究所（ANSI）批准DES作为私营部门的标准（ANSI X3.92）。

数据加密标准（DES）算法

DES是一种典型的对称加密算法，属于分组加密，输入的明文为64位的分组，密钥长度为64位，有称位56位，生成的密文为64位。
DES对64位明文分组进行操作。通过一个初始置换，将明文分组分成左半部分和右半部分，各32位长。然后进行16轮完全相同的运算，最后再将64位数据逆置换，得到64位密文

DES算法安全性分析

DES使用56位密钥对64位的数据块进行加密，并对64位的数据块进行16轮编码。在1977年，人们估计要耗资两千万美元才能建成一个专门计算机用于DES解密，而且需要12个小时的破解才能得到结果。所以，当前DES被认为是一种十分强壮的加密方法

对称加密算法之——三重DES

三重DES用两个密钥（或三个密钥）对明文进行三资助加密解密运算。
密钥长度从56位变成 112位（或168位）

对称加密算法之——高级加密标准AES算法

1997年4月15日，美国国家标准技术研究所(NIST)发起征集高级加密标准（Advanced Encryption Standard AES）活动，确定一个开放的免费使用的分组密码算法，作为21世纪加密标准。
1997年9月12日，美国公布了征集AES算法的通告，基本要求是：比三重DES快，至少与三重DES一样安全，数据分组长度为128比特、密钥长度为128/182/356比特，并且开发者放弃算法的知识产权
2000年10月2日，NIST宣布选中了Rijndael算法作为AES，2001年11月出版了最终标准FIPS PUB197.
AES算法在安全强度上比DES算法高，最终将会替代DES算法，但目前由于快速DES芯片的大量生产，DES算法短期内无法替代

对称加密算法在网络安全中的应用

对称加密算法的安全性完全取决于密钥的安全性，在计算机网络通信中保存好密钥是一个现实问题
网络应用中常用DES对等加密算法和其它算法结合起来应用，形成混合加密体系
电子商务中SSL协议使用了对称加密算法DES。
操作系统也使用了DES保护用户口令安全。

公开密钥加密技术

公开密钥算法

也称非对称加密算法，算法使用一对不同的密钥：公开密钥（public Key）和私有密钥（Private Key）。如果用公开密钥加密，只有用对应的私有密钥才能解密；如果用私有密钥加密，那么只有用对应的公开密钥才能解密。这两个密钥是数学相关的，但不能由加密密钥推出解密密钥。
使用公开密钥算法通信，不存在密钥传送问题。
N个用户相互通信，采用公开密钥加密，需要的密钥对数量仅为n。

公开密钥算法通信模型

假设A发送加密信息给B

B先产生一对加密密钥k1a和解密密钥k1b
B把公开密钥k1a发给A（截获无法解密）
A用公开密钥K1a加密信息成密文以c1
A把密文c1发送给B
B用私钥k1b解密信息

RSA算法——最完善的公钥加密算法

RSA公钥加密算法1997年由罗纳德·李维斯特、阿迪·萨莫尔和伦纳德·阿德曼共同提出，三人因此获2002年图灵奖。

RSA是目前最有影响力的公钥加密算法，能够抵抗绝大多数密码攻击，被ISO推荐为公钥数据加密标准

RSA是第一个能同时用于加密和数字签名的算法

RSA算法

RSA算法安全性基于大数分解的难度。将两个大素数相乘容易，但要对其乘积进行因式分解却极其困难，因此可以将乘积公开作为加密密钥。从一个公开密钥和密文中恢复出明文的难度等价于分解两个大素数的乘积。为提高保密强度，RSA密钥至少为500位长，一般推荐使用1024位，目前商用RSA算法密钥长度2048位。

算法过程：

随机选取2个大素数p,q，p!=q，计算N=p*q，N的二进制表示时所占用的位数就是密钥长度
选取一个整数e，e<(p-1)* (q-1)，并且e与（p-1）*(q-1)互质
选择整数d，使得de=1（mod(p-1) *(q-1)，根据欧几里德公式，d一定存在且唯一，同余
销毁p,q，把（N,e）公开作为公钥，（N,d）妥善保管作为私钥。

RSA算法安全性

密码分析者攻击RSA体制关键点在于如何分解n，若分解成功则使n=pq，则可以算出（n）=（p-1）(q-1)，然后由公开的e，解出秘密的d。
若使RSA安全，p与q必为足够大的素数，使分析者无法在多项式时间内将n分解出来，建议选择p和q大约是100位的十进制素数。
模n的长度要求至少是512比特。

公开密钥加密算法应用——混合加密体系

综合发挥两种加密算法的优点，即利用了对称加密算法速度快的优点，又利用了公钥加密算法的安全性高的特性。

加密技术应用

公开密钥加密算法应用——数字签名

数字签名实质是信息发送者利用自己私钥产生别人无法伪造的一段密文，这段密文也是对发送者发送信息真实性的一个有效证明。
数字签名技术在发送报文时，发送方用一个哈希函数从报文文本中生成报文摘要，将摘要信息用发送者的私钥加密，与报文一起传送给接收者，接收者只有用发送者的公钥才能解密被加密的摘要信息，然后用哈希函数对收到的原文产生一个摘要信息，与解密的摘要信息对比。如果相同，则说明收到的信息是完整的，在传输过程中没有被修改，否则说明信息被修改过，因此数字签名能够验证信息的完整性。

防火墙技术

防火墙技术概述

防火墙的定义

防火墙是设置在被保护网络和外部网络之间的网络访问控制设备，它像一道屏障，实现网络的安全防护，以防止发生不可预测的、潜在破坏性的侵入。
它是不同网络或网络安全域之间信息的唯一出入口

防火墙是目前网络安全领域认可程序最高，应用范围最广的网络安全技术

防火墙的功能

基本特性

内部网络和外部网络之间的所有网络数据流都必须经过防火墙
只有符合安全策略的数据流才能通过防火墙
防火墙自身具有非常强的抗攻击能力

其它功能

针对用户制定各种访问控制策略
对网络存取和访问进行监控审计
支持VPN功能
支持网络地址转换
支持身份认证

防火墙的局限性

防火墙不能防范不经过防火墙的攻击
防火墙不能解决来自内部网络的攻击和安全问题
防火墙不能防范策略配置不当引起的安全威胁
防火墙不能防止利用网络协议的缺陷进行的攻击
防火墙不能防止利用服务器系统漏洞进行的攻击
防火墙不能防止受病毒感染的文件的传输
防火墙不能防止可接触的人为或自然的破坏

防火墙的分类

按性能分类：百兆、千兆和万兆级防火墙
按形式上划分：软件防火墙和硬件防火墙
按保护对象分类：单机防火墙和网络防火墙
按体系结构分类：双宿主主机、被屏蔽主机、被屏蔽子网体系结构
按技术上划分：包过滤防火墙、应用代理型防火墙、状态检测防火墙、复合型防火墙和下一代防火墙
按CPU架构分类：通用CPU、NP(网络处理器)、ASIC(专用集成电路)、多核架构的防火墙

包过滤防火墙

包过滤防火墙是用软件核查流经的数据包包头，根据过滤规则决定是否让数据包通过的一种防火墙技术。数据包过滤一般使用过滤路由器来实现。
包过滤防火墙工作在网络层，包过滤模块一般检查网络层、传输层内容，包括下面几项：
- 源、目的IP地址
- 源、目的端口号
- 协议类型
- TCP报头的标志位

包过滤防火墙特点

优点
- 利用路由器本身的包过滤功能，以访问控制列表方式实现。
- 处理速度较快
- 对安全要求低的网络采用路由器附带防火墙功能的方法，不需要其他设备。
- 对用户透明，应用层不受影响
缺点
- 无法阻止“IP欺骗”
- 过滤规则设置和配置复杂，增加网络管理难度。
- 不支持应用层协议，无法发现应用层攻击，访问控制粒度粗。
- 实施的是静态的、固定的控制，不能跟踪TCP动态。
- 不支持用户认证，仅判断数据包来自哪个IP，无法判断来自哪个用户

包过滤防火墙设计访问控制列表的注意点

注意访问控制列表的语句顺序：访问控制列表的检测是按照自上而下的过程处理。
语句的位置：越具体的规则越靠前，前后不能互相否定。
注意路由器默认设置，默认的允许还是拒绝，拒绝比允许更安全。还要注意最后一条语句的设置

代理防火墙

代理服务器

提供代理服务的电脑系统或网络终端称为代理服务器
代理服务器运行在两个网络之间，隔断两个网络的直接通信，内网终端访问外网服务器时，首先访问代理服务器，代理服务器再访问外网服务器并转发服务器回复的数据包给内网终端。
突破自身IP访问限制或封锁
连接内网与Internet，充当防火墙
一个完整的代理设备包含一个服务器端和客户端，如果在服务器端和客户端之间增加检测过滤措施，这样的系统称为代理防火墙
代理防火墙工作在应用层，其过滤检测的实质是应用协议分析，可以识别某些应用层协议数据内容。
代理防火墙也称代理服务器，应用网关

代理防火墙的工作过程

代理防火墙的服务端接收来自内网用户的请求，自身客户端模拟用户请求访问目标服务器。

代理防火墙的工作原理

代理防火墙工作在应用层，其过滤数据时可以识别某些应用层协议数据内容，与最终用户看到的数据是一样的，而不仅仅是一个个包容地址端口协议等原始内容的网络层数据包，因而可以实现更高级的数据过滤。

代理防火墙特点

优点
- 代理防火墙安全性优于包过滤防火墙
- 代理防火墙运行在两个网络之间，彻底隔断两个网络的直接通信，可有效避免“数据驱动”式入侵攻击。
缺点
- 代理防火墙比较耗用资源
- 容易造成数据迟滞现象。
- 规则配置比较复杂。
- 不能很好支持新应用。

代理服务器的类型

HTTP代理：代理客户机的http访问，主要代理浏览器访问网页，端口一般为80、8080、3128等。
FTP代理：代理客户机上的FTP软件访问FTP服务器，其端口一般为21、2121.
POP3代理：代理客户机上的邮件软件用POP3方式收邮件，其端口一般为110。
Telnet代理：能够代理通信机的telnet，用于远程控制，入侵时经常使用。其端口一般为23.
SSL代理：支持最高128位加密的HTTP代理，作为访问https://加密网站的代理，端口443
HTTP CONNECT代理：允许用户建立TCP连接到任何端口的代理服务器。
Socks代理：全能代理，支持多种协议，包括http、ftp请求及其它类型的，端口为1080。

状态检测防火墙

状态检测防火墙也称动态包过滤防火墙，它是通过“状态监视”模块对网络通信的网络层，应用层实行监测，根据事先设置的过滤规则决定是否让数据包通过的一种防火墙技术。
状态检测防火墙克服了包过滤防火墙的不足，不是对数据包孤立检测，而从连接的建立到终止都跟踪检测，为每一个连接建立一个会话状态，该链接传输的数据都以会话状态为依据，把会话作为整体检查。

状态检测防火墙的工作流程

状态检测防火墙检查数据包的标志位

SYN请求建立连接

SYN/ACK同意请求

FIN终止连接

RST连接复位

根据这些状态位判断数据包身份，决定是否放行或丢弃

状态检测防火墙针对UDP数据包处理

防火墙保存通过网关的每一个连接的状态信息，允许穿过防火墙的UDP请求包被记录，当UDP包在相反方向上通过时，依据连接状态表确定该UDP包是否被授权的，若已被授权，则通过，否则拒绝。

状态检测防火墙虽克服了包过滤防火墙的缺点，但它仍只是检测数据包的三四层信息，无法彻底识别数据包中的垃圾邮件、广告、木马程序等。

复合型防火墙

结合代理防火墙的安全性和状态检测防火墙的高速度等优点性能大幅度提高。
先检测应用层的头部信息，确认为安全并建立安全通道后，数据包重定向到网络层转发。从而提高转发速度。

防火墙产品

防火墙产品的主要参数

硬件参数
并发连接数
吞吐量
安全过滤带宽
用户数

并发连接数

定义：指穿越防火墙的主机之间或主机与防火墙之间能同时建立的最大连接数
衡量标准：并发连接数据的测试主要用来测试防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现被测防火墙对来自于客户端的TCP连接请求的响应能力。

吞吐量

定义：在不丢包的情况下能够达到的最大速率
衡量标准：吞吐量作为衡量防火墙性能的重要指标之一，吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能。

安全过滤带宽

安全过滤带宽指防火墙在某种加密算法标准下的整体过滤性能。
防火墙吞吐量越大，安全过滤带宽越高。

用户数据限制

用户数限制分为固定限制用户数和无用户数限制两种。
固定限制用户数一般支持几十到几百个用户，适用于小型公司。
无用户数限制不限制用户数，适用于大型公司，但价格昂贵。

防火墙选购要点

自身安全性
稳定性，可靠性
管理方便
抵抗DOS
扩展升级

Windows Server安全

操作系统安全

Windows操作系统的安全控制

用户身份验证

交互式登录：输入用户名和密码
- 使用本地计算机账户——只能访问本地计算机
- 使用域用户——被授权的用户可以访问该域及任何信任域中的资源
网络身份验证：根据用户访问的网络服务确认用户身份

基于对象的访问控制

通过管理对象的属性，管理员可以设置权限、分配所有权、以及监视用户访问。
管理员不仅可以控制对特殊对象的访问，也可以控制对该对象特定属性的访问。
对旬包括文件、文件夹、打印机、I/O设备、窗口、线程、进程、内存、注册表项等。

Windows NT的登录安全机制

Winlogon进程负责用户登录、注销、安全认证

Winlogon调用Graphical Identification and Authentication DLL（GINA，图形化识别与验证），输入用户名和密码
GINA传递用户名密码给Local Security Authority(LSA本地安全机构)
LSA通过接口Security Support Provider Interface (SSPI) 把用户名密码传送给Security support providers(SSP，安全支持提供者)
SSP检查目的主机是本机还是域，本机交Security Account Manager(SAM 安全账号管理者)数据库验证，域登录交Netlogon Service(网络登录认证)去验证。
通过验证后，发放访问令牌，允许用户进入系统。

Windows基本的系统进程

System Idle Process 系统空闲进程，数值越大空闲率越高
System 核心进程，负责页面内存管理，不可删除。
smss.exe Session Manager会话活动管理进程
csrss.exe子系统服务器进程，管理图形任务。
winlogon.exe 管理用户登录
services.exe启动或终止服务，包含很多系统服务
lsass.exe管理IP安全策略
svchost.exe包含很多系统服务
spoolsv.exe将文件加载到内存中以便打印
explorer.exe资源管理器（桌面进程）
internat.exe输入法管理进程

Windows安全策略

账户安全策略

Windows强密码原则：不少于8字符；包含3种类型；不用完整词汇、用户名、姓名、生日等；
启用系统账户策略，设置适当的密码策略与锁定策略
重新命名管理员Administrator账号
创建陷阱用户：增加黑客入侵难度。
禁用或删除不必要的账号：降低风险
SYSKEY双重加密账户保护

密码策略

密码：复杂性启用
密码长度：最小8位
强制密码历史：5次
最长存留：42天
禁用可还原的加密储存密码

账户锁定策略

账户锁定3次错误登录
锁定时间20分钟
复位锁定计数20分钟

用户账户管理

更改超级管理名称
取消guest账号
不显示登录用户名
合理分配其他用户权限

注册表安全技术

Windows注册表

Windows注册表是整个操作系统中最重要的一部分，是一个数据库，存储和管理着包括操作系统配置令牌在内的整个操作系统、应用程序的关键数据。
Windows注册表本身的安全值得重视，严禁非法修改、删除注册表文件。
管理员可以通过对注册表项的修改，增强Windows系统的安全设置。
可以远程查询注册表系统配置及设置，方便远程管理

注册表的结构——树状分层结构

五个根键（主键）

HKEY_LOCAL_MACHINE主键保存的是本地计算机硬件、软件相关的信息。
HKEY_USER主键保存的是所有用户配置文件的数据信息。
HKEY_CURRENT_USER主键保存的是当前用户登录信息。
HKEY_CLASSES_ROOT主键保存着各种文件的关联信息（即打开方式），还有一些类标识和OLE、DDE之类的信息。
HKEY_CURRENT_CONFIG主键保存着计算机当前的配置信息。

注册表的根键、主键与子键

根键：“HKEY”作为前缀开头（5个）
主键：根键
子键：主键或根键的下一级子项
子键键值可以编辑

注册表的备份、还原

注册表文件共5个文件，存储在Window\System32\Config目录下
- Default——默认注册表文件
- SAM——安全账户管理器注册表文件
- Security——安全注册表文件
- Software——应用软件注册表文件
- System——系统注册表文件
可用系统程序Ntbackup备份
可通过注册表——导出注册表文件备份
可用Ntbackup还原
可通过注册表——导入注册表文件还原
用安装光盘

Window注册表安全技术——禁止建立空连接

注册表默认允许空连接，这样任何用户都可以通过空连接连接本机，暴力破解账户与密码。

将表项RestrictAnonymous值由0改为1，匿名权限不能访问，就无法建立空连接，保护账户安全。

Windows注册表安全技术——更改远程登录的3389端口

Windows允许用户在远程客户机上执行服务器上的应用程序，默认端口3389，黑客利用该端口容易侵入系统

Kali渗透测试平台

启用系统账户策略，设置适当的密码策略与锁定策略
3. 重新命名管理员Administrator账号
4. 创建陷阱用户：增加黑客入侵难度。
5. 禁用或删除不必要的账号：降低风险
6. SYSKEY双重加密账户保护